新思科技發(fā)布BSIMM11報告 軟件安全由“左移”變?yōu)椤盁o處不移”

11月11日消息（岳明）自2008年發(fā)布第一版BSIMM（軟件安全構(gòu)建成熟度模型）以來，新思科技這一旨在幫助企業(yè)規(guī)劃、執(zhí)行、評估和完善其軟件安全計劃(SSI)的免費開放模型已經(jīng)迎來了第13個版本--BSIMM11。

在今天的BSIMM11媒體溝通會上，新思科技軟件質(zhì)量與安全部門高級安全架構(gòu)師楊國梁介紹稱，BSIMM反映了數(shù)百家企業(yè)的真實實踐，是一種基于科學(xué)的觀點的描述型模型，能夠為企業(yè)的軟件安全方案提供指導(dǎo)參考，并且作為一項免費及開放的標(biāo)準(zhǔn)，廣泛適用于各行業(yè)，可以評估任一軟件安全方案。

“2008年我們發(fā)布BSIMM第一個版本時，其中只有9家公司。今天發(fā)布的BSIMM11則包含了我們觀察到的130家公司的軟件安全活動，覆蓋多個垂直行業(yè)，包括金融服務(wù)、金融科技、獨立軟件供應(yīng)商(ISV)、云、醫(yī)療保健、物聯(lián)網(wǎng)、保險及零售等。”楊國梁告訴我們，BSIMM非常注重數(shù)據(jù)的“新鮮度”。

他談到，從2008年開始，新思科技大概對共計211家企業(yè)展開過約500次以上的BSIMM測評，但BSIMM11版本里卻僅有130家企業(yè)。這是因為如果一家公司超過一定時間沒有再做新的BSIMM評估，新思科技就會把這家公司從其數(shù)據(jù)池中給移出去。因為一定時間之前做的評估中的活動，可能在新的版本中已經(jīng)不具備代表性。同時，新思科技也會根據(jù)市場動態(tài)增加或刪除進(jìn)行參考和統(tǒng)計的安全活動。

據(jù)介紹，BSIMM可以作為企業(yè)衡量軟件安全的標(biāo)尺，他們可以將自己的軟件安全計劃與BSIMM社區(qū)的數(shù)據(jù)進(jìn)行比較。在BSIMM報告中，會有一個反映全球不同領(lǐng)域企業(yè)（最新版本中，金融服務(wù)、獨立軟件供應(yīng)商和云領(lǐng)域的企業(yè)占比最高）在12個具體實踐維度中3個Level上平均水平的蛛網(wǎng)圖，企業(yè)可以參照這張圖對自身的安全性成熟度進(jìn)行比較評估。

BSIMM11報告發(fā)現(xiàn)的新趨勢包括：

·工程技術(shù)導(dǎo)向的軟件安全工作正在成功地為實現(xiàn)彈性的 DevOps 價值流貢獻(xiàn)力量。BSIMM11表明，持續(xù)集成和持續(xù)交付(CI/CD)工具和運維編排已成為一些企業(yè)軟件安全方案的常規(guī)操作，并且正在影響SSI的組織、設(shè)計和執(zhí)行方式。例如，軟件安全團(tuán)隊越來越多地向技術(shù)小組或首席技術(shù)官匯報工作（而不是IT安全團(tuán)隊或首席信息安全官），并且正在改變內(nèi)部招募和組織人才的方式。

·軟件定義的安全管理不再僅僅是一種愿景。企業(yè)采用由CI/CD管道執(zhí)行中的事件觸發(fā)的自動化活動替代一些摩擦性高的帶外（out-of-band）數(shù)據(jù)安全活動。將人員流程和決策轉(zhuǎn)換為算法是企業(yè)越來越多地解決資源約束和節(jié)奏管理問題的方法之一。

·安全“左移”變?yōu)?ldquo;無處不移”。“左移”概念的實現(xiàn)已從在軟件開發(fā)周期中較早地執(zhí)行一些安全測試的字面解釋演變?yōu)樵谟写龣z查的工件可用時立即執(zhí)行安全活動。這可能意味著在過去我們認(rèn)為在左側(cè)（較早期）的安全測試現(xiàn)在大多數(shù)情況下可能是在右側(cè)（偏后期，包括生產(chǎn)階段）。

·在BSIMM里引入金融科技垂直行業(yè)的數(shù)據(jù)。在仔細(xì)審查了金融行業(yè)中不斷增長的公司數(shù)據(jù)池后，很明顯，有必要添加一個專門面向金融服務(wù)的ISV單獨的垂直行業(yè)。

“每家企業(yè)都需要明確的軟件安全方案來聚焦工作。敏捷、CI/CD或DevOps，既不是軟件安全的原因，也不是解決方案。我們認(rèn)為，軟件安全需要不同團(tuán)隊的共同努力，也即DevSecOps。”楊國梁說到。事實上，BSIMM11報告表明，許多企業(yè)正在調(diào)整其軟件安全計劃，以支持?jǐn)?shù)字化轉(zhuǎn)型和DevOps等現(xiàn)代軟件開發(fā)范例。

據(jù)介紹，在過去的一年中，添加到BSIMM10中的三個活動取得了驚人的增長（SM3.4 集成軟件定義生命周期管理、AM3.3 監(jiān)控自動化資產(chǎn)創(chuàng)建工作和CMVM3.5 自動驗證運營基礎(chǔ)運維安全性）。這反映了一些企業(yè)如何積極加速軟件安全工作，以適應(yīng)軟件交付的速度。此外，BSIMM11中添加的兩個活動顯示了這一趨勢在延續(xù)（ST3.6 自動實施事件驅(qū)動的安全性測試，CMVM3.6 發(fā)布可部署工件的風(fēng)險數(shù)據(jù)）。這些新的活動代表著向DevSecOps的轉(zhuǎn)變。

目前，云、物聯(lián)網(wǎng)和高科技公司是BSIMM11數(shù)據(jù)池中最成熟的三個垂直行業(yè)。BSIMM11還強調(diào)了三個受到高度監(jiān)管的行業(yè)之間的差異：金融服務(wù)、醫(yī)療保健和保險。金融服務(wù)行業(yè)比其他行業(yè)更早地組建軟件安全團(tuán)隊，因此，與醫(yī)療保健和保險行業(yè)相比，擁有更為成熟的軟件安全實踐。BSIMM首次歸納金融科技行業(yè)的數(shù)據(jù)，并發(fā)現(xiàn)它與金融服務(wù)的追蹤非常接近，主要的差異（有利于金融科技）體現(xiàn)在培訓(xùn)、安全測試和代碼審查實踐中。

“企業(yè)軟件安全成熟度與其軟件安全小組成立的時間，在某種程度上呈現(xiàn)一種正相關(guān)關(guān)系。一般來說，越早成立軟件安全小組，或者在軟件安全小組上花越多的時間，企業(yè)的軟件安全成熟度就會越高。”楊國梁解釋道。

而當(dāng)我們問及安全由“左移”變?yōu)?ldquo;無處不移”對于企業(yè)來說意味著什么時，楊國梁強調(diào)，左移目前還是一個比較好的方法論，根據(jù)新思科技與中國一些客戶的交流，其實他們在整個開發(fā)過程中，能夠做的比較有效的安全活動還不是很多。如果從投入產(chǎn)出比的角度來看，他建議企業(yè)先把左移做好，之后再進(jìn)行其他可行實踐。

點擊下載BSIMM11報告。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。